Gegevensback-ups kunnen helpen gegevens te herstellen als de hoofdkopie in productie is beschadigd of verwijderd. Met het hoge risico op cyberaanvallen en andere bedreigingen zijn back-ups echter ook kwetsbaar.
Een van de beste manieren om back-upgegevens te beschermen tegen wijzigingen of verwijderingen is door opslag te gebruiken die onveranderlijkheid ondersteunt. Ontdek wat gegevensonveranderlijkheid inhoudt, hoe onveranderlijke opslag werkt en waarom onveranderlijke gegevensopslag de kans op gegevensbescherming en herstel verbetert.
Wat Is Gegevensonveranderlijkheid?
Gegevensonveranderlijkheid is een concept in de informatica en gegevensbeheer dat verwijst naar gegevens die niet kunnen worden gewijzigd nadat ze zijn gemaakt. In een onveranderlijk gegevensmodel kan gegevens eenmaal gemaakt niet worden gewijzigd of bijgewerkt; in plaats daarvan leiden eventuele wijzigingen tot de creatie van nieuwe gegevens, waardoor de oorspronkelijke gegevens ongewijzigd blijven (als de wijzigingen kunnen worden toegepast). Deze aanpak heeft belangrijke implicaties en voordelen.
Onveranderlijke gegevens zijn niet altijd de beste keuze, aangezien er scenario’s zijn waarin mutabele gegevens efficiënter of geschikter zijn. Echter, in veel gevallen, vooral in back-ups, gelijktijdige of gedistribueerde systemen, kan onveranderlijkheid de ontwikkeling vereenvoudigen en de betrouwbaarheid verbeteren.
Wat Is Onveranderlijke Opslag?
Onveranderlijke opslag is een type gegevensopslag waarbij gegevens, eenmaal geschreven of opgeslagen, gedurende een bepaalde periode, zo niet voor altijd, niet kunnen worden gewijzigd, gewijzigd of verwijderd. Dit concept wordt vaak gebruikt in de context van gegevensbehoud, gegevensbescherming, gegevensnaleving en gegevensbeveiliging. Onveranderlijke opslagsystemen zijn ontworpen om de integriteit en onveranderlijkheid van gegevens te waarborgen, meestal om wettelijke of regelgevende redenen of om kritieke informatie te beschermen tegen ongeoorloofde wijzigingen of verwijdering.
Onveranderlijke opslag voegt een extra laag gegevensbeveiliging toe. Zodra gegevens naar een onveranderlijk opslagsysteem zijn geschreven, wordt het bestand tegen ongeautoriseerde wijzigingen, waardoor het wordt beschermd tegen cyberaanvallen en interne bedreigingen. Onveranderlijke opslag kan worden gebruikt in scenario’s waarin het handhaven van een veilige en ononderbroken keten van bewaring cruciaal is, zoals bewijsopslag in juridische zaken of het opslaan van financiële transactierecords. Een voorbeeld kan zijn videobewakingsbeelden die eenmaal zijn geschreven en niet kunnen worden gemanipuleerd of verwijderd om als bewijs te worden gebruikt bij het onderzoeken van juridische activiteiten.
Onveranderlijke opslagsystemen worden ingezet om gegevens gedurende een bepaalde periode te behouden, zodat deze ongewijzigd en toegankelijk blijven voor controle, naleving of archiveringsdoeleinden. Dit is cruciaal in sectoren zoals financiën, gezondheidszorg en juridisch, waar strikte vereisten gelden voor het bewaren van gegevens. Of het nu gaat om gegevensbescherming, regelgevende naleving (bijvoorbeeld GDPR), of verbeterde beveiliging, onveranderlijke opslag is een essentieel onderdeel om de integriteit van gegevens en veerkracht tegen manipulatie of ongeautoriseerde wijzigingen te waarborgen.
Hoe werkt Onveranderlijke Opslag?
Onveranderlijke opslag werkt door mechanismen en beleidsregels te implementeren die voorkomen dat gegevens worden gewijzigd, gewijzigd of verwijderd nadat ze zijn geschreven of opgeslagen. De specifieke methoden om onveranderlijkheid te bereiken, kunnen variëren afhankelijk van de technologie en architectuur van het opslagsysteem. Technieken en principes die worden gebruikt in onveranderlijke opslag zijn:
- Write-Once-Read-Many (WORM). WORM-opslag is ontworpen om gegevens slechts één keer te laten schrijven en eenmaal geschreven, kan het niet worden gewijzigd of overschreven. Dit wordt vaak bereikt door fysieke of logische mechanismen die gegevens vergrendelen nadat ze zijn geschreven, waardoor verdere wijzigingen worden voorkomen.
- Data-versiebeheer. Sommige onveranderlijke opslagsystemen ondersteunen gegevensversiebeheer, waarbij elke wijziging in de gegevens resulteert in een nieuwe versie. Oudere versies van de gegevens worden bewaard, zodat u historische versies kunt openen terwijl de oorspronkelijke gegevens ongewijzigd blijven.
- Vergrendeling en toegangscontroles. Onveranderlijke opslagsystemen bevatten vaak toegangscontroles en machtigingen om te voorkomen dat onbevoegde gebruikers proberen gegevens te wijzigen of te verwijderen. Alleen geautoriseerde personen of processen kunnen schrijven naar de opslag, terwijl anderen alleen gegevens kunnen lezen.
- Bewaarbeleid. Onveranderlijke opslagsystemen bevatten doorgaans bewaarbeleidsregels die specificeren hoe lang gegevens in een ongewijzigde toestand moeten worden bewaard. Hiermee kunt u onveranderlijkheid instellen voor een specifieke periode. Zodra deze retentieperiode verloopt, kunnen gegevens in aanmerking komen voor verwijdering.
- Cryptografische hashing. Veel onveranderlijke opslagsystemen gebruiken cryptografische hash-technieken om de integriteit van gegevens te waarborgen. Wanneer gegevens worden geschreven, wordt een hashwaarde (een string van vaste lengte afgeleid van de inhoud van de gegevens) berekend en naast de gegevens opgeslagen. Elke poging om de gegevens te wijzigen, zal resulteren in een andere hashwaarde, wat wijst op manipulatie.
- Inhoudsadresseringopslag. Dit is een opslagarchitectuur die aan elk stukje gegevens een unieke identificator toewijst (meestal een cryptografische hash). Deze identificator wordt gebruikt om gegevens op te halen in plaats van traditionele bestandspaden. Zodra gegevens zijn geschreven, kunnen ze niet worden gewijzigd zonder hun identificator te veranderen.
- Audittrails. Om naleving te waarborgen en alle toegangs- of wijzigingspogingen bij te houden, onderhouden onveranderlijke opslagsystemen vaak gedetailleerde auditlogs waarin alle interacties met de opgeslagen gegevens worden geregistreerd.
- Hardware- en softwarebeveiligingen. Onveranderlijke opslag kan hardware- of softwarebeveiligingen gebruiken om gegevens te beschermen tegen fysieke en logische bedreigingen, zoals verzegelingen die aangeven dat er geknoeid is, beveiligde hardwaremodules of gedistribueerde consensusalgoritmen.
Onveranderlijke opslag wordt vaak in combinatie met andere technologieën gebruikt, zoals blockchain, digitale handtekeningen en beveiligde tijdstempels, om de authenticiteit en beveiliging van gegevens verder te verbeteren. De specifieke implementatie van onveranderlijke opslag kan sterk variëren op basis van de behoeften en vereisten van de organisatie of industrie die het bedient.
Luchtgat versus Onveranderlijke Opslag
Een luchtgat is een beveiligingsmaatregel die wordt gebruikt in de informatica en gegevensbeheer om een systeem of netwerk fysiek en logisch te isoleren van onbeveiligde of potentieel gecompromitteerde omgevingen. De term “luchtgat” impliceert dat er een letterlijk gat of fysieke ontkoppeling is tussen het beveiligde systeem/gegevens en externe netwerken, waardoor het moeilijk wordt om gegevens toegankelijk te maken, te wijzigen of te compromitteren door ongeautoriseerde gebruikers of cyberaanvallen.
Luchtgeïsoleerde opslag is een opslagmedium dat fysiek losgekoppeld is van een computer of netwerk. Luchtspleten worden vaak gebruikt voor zeer gevoelige of kritieke systemen, zoals die welke geclassificeerde informatie verwerken, kritieke infrastructuurbeheersystemen, en beveiligde overheids- of militaire netwerken.
Een luchtgat biedt een sterke beveiligingslaag door een systeem of gegevens te isoleren van externe netwerken, maar maakt op zichzelf de opslag niet inherent onveranderlijk. Luchtspleten richten zich voornamelijk op het isoleren van een systeem of netwerk van externe bedreigingen, maar garanderen op zichzelf geen gegevensonveranderlijkheid. Organisaties kunnen luchtgeïsoleerde omgevingen combineren met aanvullende beveiligingsmaatregelen en praktijken en beleid inzake gegevensonveranderlijkheid om cyberweerbaarheid binnen die geïsoleerde context te bereiken en gegevens te beschermen tegen ongeautoriseerde wijzigingen.
Een voorbeeld van luchtgeïsoleerde opslag
SAS, SATA of USB HDD losgekoppeld van een server of opslagarray is een veelvoorkomend voorbeeld van luchtgeïsoleerde opslag. Bestanden die zijn opgeslagen op een harde schijf (HDD) kunnen niet worden gewijzigd omdat dit apparaat fysiek is losgekoppeld en uitgeschakeld. Het is ontoegankelijk voor software. Gegevens die zijn opgeslagen op deze losgekoppelde harde schijf zijn beschermd tegen ransomware-aanvallen en andere ongewenste wijzigingen.
Deze bescherming wordt echter niet bereikt door het gebruik van onveranderlijke technologieën zoals bij moderne onveranderlijke opslag. Er zijn geen hardware schrijfbeschermende schakelaars en er is geen software die schrijfbeveiliging garandeert voor een standaard harde schijf die is uitgeschakeld. Daarom zijn luchtgeïsoleerde opslag en onveranderlijke opslag verschillend, ondanks het feit dat ze voor vergelijkbare doeleinden worden gebruikt.
Tape cartridges worden ook beschouwd als luchtgeïsoleerde opslag. Na het schrijven van een back-up naar tape kan de uitgeworpen tape cartridge niet worden geopend door ransomware en kunnen de back-upgegevens niet worden gewijzigd.
Luchtgeïsoleerde opslag vereist meer inspanning en tijd voor beheer in vergelijking met onveranderlijke opslag die kan worden geïmplementeerd op een server, in een lokale of openbare cloud.
Onveranderlijke Cloudopslagoplossingen
Onveranderlijke cloudopslagoplossingen verwijzen naar cloudgebaseerde gegevensopslagdiensten of systemen die onveranderlijkheid bieden als een kernfunctie. Deze oplossingen zorgen ervoor dat zodra gegevens zijn opgeslagen in de cloud, ze niet kunnen worden gewijzigd, aangepast of verwijderd gedurende een bepaalde periode of volgens specifieke beleidsregels en de principes van onveranderlijke opslag. Onveranderlijke cloudopslag is met name waardevol voor organisaties die gegevensintegriteit willen beschermen, aan nalevingsvereisten willen voldoen, gegevensbeveiliging willen verbeteren en gegevensbewaarstrategieën in de cloud willen implementeren.
Voorbeelden van onveranderlijke cloudopslag
Onveranderlijke cloudopslagoplossingen worden aangeboden door verschillende cloudserviceproviders en ze zijn ontworpen om gegevensonveranderlijkheid en bescherming tegen ongeautoriseerde wijzigingen of verwijderingen te bieden. Verschillende cloudserviceproviders bieden onveranderlijke cloudopslagoplossingen aan als onderdeel van hun portfolio. Bijvoorbeeld, Amazon S3 (Simple Storage Service) biedt Object Lock, een functie die gegevensonveranderlijkheid mogelijk maakt voor S3-objecten (onveranderlijke objectopslag). Microsoft Azure biedt Azure Immutable Blob Storage, waarmee organisaties onveranderlijke gegevens kunnen maken en beheren in Azure Blob Storage. Laten we voorbeelden bekijken van onveranderlijke cloudopslagoplossingen van enkele belangrijke cloudproviders:
- Amazon S3 Object Lock. Amazon S3 biedt een functie genaamd Object Lock waarmee gebruikers onveranderlijke objecten kunnen maken binnen hun S3-buckets om onveranderlijke objectopslag in de openbare cloud te bieden. Gebruikers kunnen kiezen tussen twee modi: Governance-modus, waar beheerders retentiebeleid kunnen instellen, en Compliance-modus, waarbij een object eenmaal vergrendeld is, het niet kan worden verwijderd of gewijzigd totdat de retentieperiode verloopt.
Microsoft Azure Immutable Blob Storage . Microsoft Azure biedt Immutable Blob Storage aan als onderdeel van zijnAzure Blob Storage -service. Immutable Blob Storage stelt gebruikers in staat retentiebeleid in te stellen op hun blobcontainers, waardoor elke wijziging of verwijdering van blobs wordt voorkomen totdat de retentieperiode is verstreken. - Microsoft Azure Onveranderlijke Blob Storage. Microsoft Azure biedt Onveranderlijke Blob Storage als onderdeel van zijn Azure Blob Storage dienst. Onveranderlijke Blob Storage stelt gebruikers in staat retentiebeleid in te stellen op hun blobcontainers, waardoor het wijzigen of verwijderen van blobs wordt voorkomen totdat de retentieperiode is verstreken.
- Google Cloud Storage Object Versioning. Google Cloud Storage biedt objectversionering als een manier om onveranderbaarheid te bereiken. Wanneer versionering is ingeschakeld, creëert elke wijziging van een object een nieuwe versie van dat object, waarbij de oorspronkelijke behouden blijft. Gebruikers kunnen objectlevenscykelbeleid configureren om versies in de loop van de tijd te beheren, waaronder het instellen van retentieperiodes voor onveranderbaarheid.
- IBM Cloud Object Lock. IBM Cloud Object Storage biedt Object Lock, een functie die gebruikers in staat stelt onveranderbaarheid af te dwingen voor specifieke objecten binnen hun buckets. Net als bij andere cloudproviders biedt Object Lock zowel Governance- als Compliance-modi voor verschillende niveaus van controle over gegevensretentie en onveranderbaarheid.
- Oracle Cloud Storage Service Object Lock. Oracle Cloud Storage Service biedt Object Lock, waarmee gebruikers onveranderbare objecten kunnen maken met aanpasbare retentieperiodes. Deze functie is handig voor organisaties die onderworpen zijn aan gegevensretentieregelgeving of die strikte gegevensbewaring vereisen.
Deze voorbeelden laten zien hoe verschillende cloudproviders oplossingen aanbieden om data-immutabiliteit te garanderen, voornamelijk door het creëren van onveranderlijke objecten of het gebruik van versiebeheer en retentiebeleid.
Lokale Onveranderlijke Opslag
Lokale onveranderlijke opslag verwijst naar datastorage die fysiek op een apparaat of systeem is gelegd en is ontworpen om de onveranderlijkheid van het opgeslagen data te garanderen. In tegenstelling tot cloud-based onveranderlijke opslagoplossingen, die vertrouwen op externe servers en diensten, functioneert lokale onveranderlijke opslag binnen de grenzen van een enkel apparaat, server of on-premises infrastructuur. Dit type opslag is bijzonder handig voor scenario’s waar data op lokaal niveau moet worden beschermd tegen onbevoegde wijzigingen of verwijderingen.
De belangrijkste kenmerken van lokale onveranderlijke opslag zijn:
- Hardwarematige schrijfbeveiliging. Lokale onveranderlijke opslag kan worden bereikt door middel van hardwaremechanismen die fysiek voorkomen dat data wordt overschreven of gewijzigd. Bijvoorbeeld, schrijf-beschermde opslagapparaten of media, zoals optische schijven, staan het schrijven van data toe en beschermen deze vervolgens tegen verdere wijzigingen.
- Bestandssysteemfuncties. Sommige bestandssystemen ondersteunen functies die kunnen worden gebruikt om lokale onveranderlijkheid te implementeren. Bijvoorbeeld, in Linux-achtige besturingssystemen kun je de
chattropdracht gebruiken om attributen zoals ” i ” (onveranderlijk) op bestanden te zetten, waardoor ze niet kunnen worden gewijzigd of verwijderd. - Gespecialiseerde software. Er zijn softwareoplossingen ontworpen om lokale onveranderlijke opslagomgevingen te creëren. Deze vertrouwen vaak op cryptografische hashing, digitale handtekeningen en toegangscontroles om de integriteit en onveranderlijkheid van gegevens te garanderen.
Voorbeelden van lokale onveranderlijke opslag
De voorbeelden van lokale onveranderlijke opslag die in de praktijk worden gebruikt, zijn:
- Optische schijven (CD-R, DVD-R, Blu-ray schijf): Schrijf-één optische schijven zijn een klassiek voorbeeld van lokale onveranderlijke opslag. Zodra gegevens op deze schijven zijn gebrand, kunnen ze niet worden gewijzigd of verwijderd zonder het medium fysiek te beschadigen.
- Schrijf-beschermde opslagapparaten: SD-flashkaarten zijn voorzien van schrijf-bescherm-schakelaars en sommige USB-harde schijven hebben mechanismen die voorkomen dat gegevens worden gewijzigd zodra de schrijfbeveiliging is ingeschakeld.
- Onveranderlijke bestandssystemen: Sommige gespecialiseerde bestandssystemen, zoals WORM (Write-Once-Read-Many) bestandssystemen, zijn ontworpen om de onveranderlijkheid van gegevens op het niveau van het bestandssystemen af te dwingen (bijvoorbeeld, Sun QFS). Ze voorkomen wijzigingen aan opgeslagen gegevens nadat deze zijn geschreven.
- Blockchain databases: Blockchain databases zijn een vorm van lokale onveranderlijke opslag die wordt gebruikt voor gedecentraliseerde toepassingen. In blockchain worden gegevens opgeslagen in een reeks blokken, met elk blok dat een cryptografische hash van de vorige bevat. Deze blokkenketen garandeert de onveranderlijkheid van opgeslagen gegevens.
- Beveiligde Hardware Modules: Sommige hardware security modules (HSMs) en beveiligde enclaves bieden mogelijkheden voor lokale onveranderlijke opslag door cryptografische sleutels en gevoelige gegevens te beschermen tegen aanpassing of onbevoegde toegang.
Het gebruik van onveranderlijke technologieën en onveranderlijke opslag kan worden geïmplementeerd op conventionele opslagapparaten in de on-premises infrastructuur. Optische media zoals CD-R, DVD-R en Blu-Ray, evenals SD-flashkaarten, kunnen helpen bij het beschermen van kleine hoeveelheden gegevens die handig kunnen zijn voor individuele gebruikers in de handmatige modus. Wat betreft organisaties en productieomgevingen, kan een bestandssysteem met WORM-configuratie en andere oplossingen voor schaalbare opslag worden geïmplementeerd voor efficiënte bescherming met automatisering. Op cloud gebaseerde onveranderlijke opslagoplossingen kunnen een breder scala aan gebruiksscenario’s bedienen, waaronder externe toegang en samenwerking.
Is tape een onveranderlijk opslagmedium?
Tapeopslag kan worden gebruikt om een vorm van onveranderlijke opslag te bieden. Tapeopslag is een veelzijdig medium dat het mogelijk maakt gegevens te schrijven, te overschrijven en te verwijderen zoals andere vormen van opslag. Organisaties kunnen echter praktijken en beleidsregels implementeren om tapeopslag zich als een onveranderlijke manier te laten gedragen.
Organisaties kunnen een write-once-strategie gebruiken bij het opslaan van gegevens op tape die handig is voor back-up naar tape. Dit betekent dat gegevens één keer op de tape worden geschreven en daarna wordt de tape behandeld als read-only. Zodra gegevens op deze manier op een tape zijn geschreven, kan deze niet worden gewijzigd of verwijderd zonder de tape fysiek te vernietigen. Tape cartridges hebben een write-protected switch. Er zijn ook speciale VolSafe-cartridges die slechts één keer kunnen worden gebruikt om gegevens te schrijven.
Het is echter belangrijk op te merken dat het onderhouden en beheren van tape-based immutable storage complexer en minder handig kan zijn dan het gebruik van moderne cloud-based of disk-based immutable storage-oplossingen, die vaak ingebouwde functies voor gegevensonveranderbaarheid en toegangscontrole bevatten.
Immutable storage op NAS
Sommige Network Attached Storage (NAS) systemen, zoals Synology NAS en QNAP NAS, ondersteunen onveranderlijke opslag die kan worden geconfigureerd in de webinterface van het door de leverancier gebouwde besturingssysteem dat op het NAS is geïnstalleerd. Dit is een extra optie om onveranderlijke opslag on-premises te configureren. De configuratie van onveranderlijkheid voor een eenmalig te schrijven gedeelde map op NAS is eenvoudig.
Onveranderlijke Backup
Een onveranderlijke backup is een backup die niet kan worden gewijzigd of verwijderd. Onveranderlijke backup is een van de meest populaire toepassingen van onveranderlijke datastorage. Als een vervaltermijn is ingesteld, kan de onveranderlijke backup alleen worden verwijderd nadat deze termijn is verstreken. Onveranderlijke backups worden gebruikt door organisaties uit alle sectoren.
Backups zijn een van de belangrijkste doelwitten voor ransomware-aanvallers, omdat de aanvallers weten dat een back-up het slachtoffer in staat stelt om gegevens te herstellen zonder losgeld te betalen. Backups die zich bevinden op onveranderlijke opslag beschermen gebruikers en organisaties tegen gegevensversleuteling, gegevenscorruptie en verwijdering in backups.
Wanneer u het 3-2-1 backup principe gebruikt, dat vereist dat u ten minste 3 kopieën van uw gegevens op ten minste 2 verschillende media hebt, waarvan er één op een afgelegen locatie wordt opgeslagen, is het betrouwbaarder om één kopie van uw gegevens op een opslagmedium met onveranderbaarheid te hebben. Dit kan een extra (vierde) kopie van uw gegevens zijn. Als de primaire kopieën van uw gegevens worden aangetast, is het mogelijk om uw gegevens te herstellen vanaf de onveranderlijke backup.
Backup naar onveranderlijke opslag met NAKIVO
NAKIVO Backup & Replication is een moderne oplossing voor gegevensbescherming die ondersteuning biedt voor het maken van back-ups naar opslaglocaties die onveranderbaarheid ondersteunen. U kunt onveranderbaarheid configureren door een backup repository te implementeren op de volgende locaties:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
Bovendien kunt u een virtueel apparaat implementeren voor VMware vSphere en een vooraf geconfigureerde Amazon Machine Image (AMI) voor Amazon EC2 met een verharde ingebouwde back-upopslag met ingeschakelde onveranderbaarheid.